שחקן איום שלישיית סמישינג
קמפיין סמישינג רחב היקף נקשר ליותר מ-194,000 דומיינים זדוניים מאז ה-1 בינואר 2024, ומכוון נגד מגוון רחב של שירותים ברחבי העולם. הקמפיין מנצל הודעות SMS מטעות כדי להערים על משתמשים ולגרום להם לחשוף מידע רגיש, לעתים קרובות תוך התחזות להפרות אגרה או לחבילות שנמסרו בצורה שגויה.
למרות שהדומיינים רשומים דרך רשם שבסיסו בהונג קונג ומשתמשים בשרתי שמות סיניים, תשתית התקיפה פועלת בעיקר משירותי ענן המאוחסנים בארה"ב, דבר המשקף מערך מבוזר ברחבי העולם.
תוכן העניינים
שלישיית הסמישינג: גורמי איום הקשורים לסין
הקמפיין מיוחס לקבוצה המקושרת לסין המכונה "שלישיית הסמישינג", הידועה לשמצה בהצפת מכשירים ניידים בהודעות הונאה. במהלך שלוש השנים האחרונות, קמפיינים אלה הוכיחו את עצמם כרווחיים ביותר, והניבו יותר ממיליארד דולר עבור גורמי האיום.
ממצאים אחרונים מדגישים התפתחות משמעותית בטקטיקות שלהם. ערכות פישינג מכוונות יותר ויותר לחשבונות ברוקראז' כדי לגנוב אישורי בנק וקודי אימות. התקפות על חשבונות אלה עלו פי חמישה ברבעון השני של 2025 בהשוואה לתקופה המקבילה ב-2024. לאחר הפריצה, התוקפים מניפולציות במחירי המניות באמצעות תוכניות "רמפה וdump", ומשאירים עקבות נייר מינימליים.
פישינג כשירות: מערכת אקולוגית פלילית משוכללת
שלישיית הסמישינג הפכה מספקית ערכות פישינג פשוטה לקהילת פישינג כשירות (PhaaS) פעילה ביותר, הכוללת מספר גורמים מתמחים:
- מפתחי ערכות פישינג - צור את הכלים.
- מתווכי נתונים - מספקים מספרי טלפון יעד.
- מוכרי דומיינים – רישום דומיינים חד פעמיים לאירוח אתרי פישינג.
- ספקי אירוח - תחזוקת שרתים.
- שולחי ספאם – מפיצים הודעות הונאה בקנה מידה גדול.
- סורקי נוכחות - אימות מספרי טלפון פעילים.
- סורקי רשימות חסימה – בודקים דומיינים מול רשימות חסימה לצורך סבב.
מערכת אקולוגית זו מאפשרת פריסה מהירה והסתגלות מתמדת, מה שהופך את הגילוי והשיבוש למאתגרים.
רישום דומיין ואסטרטגיית נטישה
ניתוח מגלה שכמעט 93,200 מתוך 136,933 דומיינים ראשוניים (68.06%) רשומים תחת Dominet (HK) Limited. רובם משתמשים בקידומת .com, אם כי חלה עלייה ברישומי דומיינים .gov בחודשים האחרונים.
הקמפיין מסתמך במידה רבה על תחלופת דומיינים מהירה:
- 29.19% מהדומיינים היו פעילים במשך יומיים או פחות
- 71.3% היו פעילים פחות משבוע
- 82.6% היו פעילים במשך שבועיים או פחות
- פחות מ-6% שרדו מעבר לשלושה חודשים
נטישה זו, בשילוב עם 194,345 כתובות FQDN המפותחות ל-43,494 כתובות IP ייחודיות (רובן בארה"ב ב-Cloudflare), מאפשרת לגורמי האיום להתחמק באופן רציף מגילוי.
תובנות תשתית והישג עולמי
ממצאים מרכזיים מניתוח התשתיות של הקמפיין כוללים:
- שירות הדואר של ארה"ב הוא השירות המדומה ביותר, עם 28,045 כתובות דואר רגילות (FQDNs).
- פיתוי שירותי אגרה שולטים, עם כ-90,000 הודעות FQDN של פישינג.
- דומיינים המייצרים את התנועה הגבוהה ביותר מאוחסנים בעיקר בארה"ב, אחריה סין וסינגפור.
קורבנות ממוקדים במגזרים רבים, כולל בנקים, בורסות מטבעות קריפטוגרפיים, שירותי משלוחים, כוחות משטרה, חברות ממשלתיות, שירותי אגרה, אפליקציות שיתופי נסיעות, שירותי אירוח, מדיה חברתית ופלטפורמות מסחר אלקטרוני במדינות כמו רוסיה, פולין וליטא.
קמפיינים של התחזות ממשלתיים מפנים לעתים קרובות משתמשים לדפי נחיתה הטוענים שלא שולמו אגרות או חיובי שירות, ולפעמים מנצלים את הפיתוי של ClickFix כדי להערים על משתמשים ולגרום להם להריץ קוד זדוני במסווה של אימות CAPTCHA.
איום מבוזר עם השפעה עולמית
קמפיין סמישינג טריאד מדגים טווח הגעה גלובלי וביזור. תוקפים נרשמים וגולשים בין אלפי דומיינים מדי יום, מחקים שירותים מגוונים כדי למקסם את ההשפעה. קמפיינים של סמישינג המכוונים לשירותי אגרה בארה"ב מייצגים רק היבט אחד של מיזם פשיעה עצום, גמיש ורווחי שממשיך להתפתח בקנה מידה גדול.
